Vooraf: ik ben geen forensisch onderzoeker, maar loop al wel een tijdje mee en heb ook wel wat gecompromitteerde systemen bekeken.
Tip: doe eerst wat zinvolle bijdragen op het forum voordat je zelf vragen stelt. Nu ben je een leecher en die krijgen minder respons.
14-10-2015, 17:09 door josdca: Welke indicaties zijn voor een onderzoeker belangrijk tijdens een incident response waarbij gezocht wordt of een aanvaller zich op het netwerk begeeft?
Hmm "begeeft" klinkt als een beweging in de zin van "zich toegang verschaft" (bezig is in te breken). Ik vermoed echter dat je bedoelt dat de aanvaller al toegang heeft tot systemen in het netwerk.
Lees eerst:
http://www.theregister.co.uk/2015/10/15/inside_mandiants_biggest_forensics_breach_battle_is_this_anthem/. M.a.w. onderschat de aanvaller niet en realiseer je dat aanvallers graag weten hoe jij hen probeert op te sporen. Voor zover op dit forum al mensen met verstand van deze zaken aanwezig zijn, gaan zij jou dat niet in detail vertellen.
In essentie gaat het natuurlijk altijd om anomaly detection: wat is er veranderd dat niet verklaard kan worden? Als je als externe onderzoeker in een omgeving komt waar weinig wordt gelogd, logs kort worden bewaard en de integriteit ervan twijfelachtig is, heb je "een uitdaging".
Om anomaly detection goed te kunnen doen is het niet allen belangrijk om te wrten wat "normaal" is, maar ook hoe lang de situatie al niet meer normaal is (wanneer is er ingebroken). In de praktijk zul je vaak zien dat er meer dan 1x is ingebroken wat extra "ruis" geeft in je onderzoek.
Een belangrijke indicator zijn dan mensen; vraag ze om alle vreemde zaken te rapporteren en aan te geven hoe lang het speelt. Benader de meer verlegen types zelf; zij hebben vaak interessante info en zijn minder vooringenomen.
14-10-2015, 17:09 door josdca: Welke methodes en/of tools gebruikt kunnen worden voor het detecteren van die indicaties?
1 Gezond verstand
2 Kennis van de scene (lees full disclosure etc.), scripting languages, obfuscation technieken, netwerkprotocollen en versleuteling
3 Empathie maar ook overtuigingskracht (toestemming off-line halen systemen voor zuiver onderzoek)
4 Netwerksniffer
5 Hex viewer/editor, hashtools, strings, virustotal
6 Unpackers, IDA Pro
Succes met je studie!